System32 является доверенной папкой, если ...
При установке Windows в конфигурации по умолчанию только процессы с разрешениями административного уровня могут создавать файлы в папке System32. Поэтому вы можете доверять коду, запущенному из этого каталога, если выполняются следующие условия:
На компьютере были установлены только надежные программы. (Я имею в виду только те программы, для установки которых требуется повышение прав.)
Система не была скомпрометирована с уязвимостью повышения привилегий.
В этом втором пункте трудно быть уверенным, особенно в случаях, когда подозревается вредоносное программное обеспечение. Например, угроза могла начаться с непривилегированной учетной записи, использовать уязвимость для получения разрешений администратора, а затем установить корневой набор, чтобы скрыть свое присутствие. Системный администратор может иметь веские основания подозревать, что что-то происходит, но не может с готовностью подтвердить или опровергнуть возможное использование эксплойта с повышением привилегий.
Конечно, тот, кто использует свою систему ежедневно, выполняя вход в систему с учетной записью административного уровня, значительно упрощает вредоносный код для взлома всей системы, и, вероятно, ему будет лучше, если он испортит первые признаки нежелательной активности.
Не весь код, запущенный из System32 - это то, что кажется
Подходя к этому под другим углом зрения, вы можете подумать, что при проверке вашей системы на наличие вредоносных процессов код запускается из System32, хотя на самом деле это не так.
Даже на компьютере, на котором нежелательное программное обеспечение никогда не имело прав администратора, оно может дать случайному наблюдателю впечатление, будто оно запускается из папки System32. Это делается путем помещения вредоносной библиотеки DLL в непривилегированное местоположение (например, структуру папок AppData), а затем запускает DLLHOST.EXE (исполняемый файл Microsoft, который находится в System32), передавая имя библиотеки DLL в качестве аргумента. Поскольку запущенный процесс - DLLHOST.EXE, все выглядит законным. Только при ближайшем рассмотрении можно обнаружить, что реальный код, содержащийся в DLL, не находится в обычно привилегированном месте и поэтому подозревает.
Хорошая новость заключается в том, что в подобных случаях, когда вредоносный код не получает прав администратора, он не может вырваться из учетной записи изначально зараженного пользователя, настроив Windows для его запуска для всех пользователей. Поэтому такие угрозы могут быть легко устранены путем входа в систему с бескомпромиссной учетной записью и выполнения очистки оттуда.
